La vulnerabilidad crítica ahora corregida en OpenSea, el mercado más grande del mundo para tokens inconfundibles (NFT), podría ser explotada por actores malintencionados para agotar la criptomoneda de la víctima mediante el envío de un token especialmente diseñado, lo que abre un nuevo vector de ataque para la explotación.
Los hallazgos provienen de Checkpoint Research, una empresa de seguridad cibernética que inició una investigación en la plataforma luego de informes públicos de billeteras de criptomonedas robadas que desencadenaron un NFT gratuito. Los problemas se solucionaron en menos de una hora de publicación responsable el 26 de septiembre de 2021.
«Las vulnerabilidades no corregidas podrían permitir a los piratas informáticos secuestrar cuentas de usuarios y robar billeteras de criptomonedas completas mediante la creación de NFT maliciosos», dijeron los investigadores de Check Point.
Como sugiere el nombre, los NFT son activos digitales únicos, como fotos, videos, audio y otros elementos, que se pueden vender y comercializar en una cadena de bloques, utilizando la tecnología como un certificado de autenticidad para crear una prueba de propiedad verificada y pública.
El modus operandi del ataque se basa en el envío de víctimas malintencionadas a la NFT, que cuando se hace clic conduce a un escenario en el que se pueden facilitar transacciones no autorizadas a través de un proveedor de billetera de terceros simplemente proporcionando una firma de billetera para adjuntar sus billeteras y tomar medidas en nombre. de objetivos «Los usuarios deben ser muy conscientes de lo que se están registrando en OpenSea, así como en otras plataformas NFT, y si se correlaciona con las acciones esperadas», dijeron los investigadores.
OpenSea dijo que no había encontrado casos de vulnerabilidad en la naturaleza, pero agregó que estaba trabajando con servicios de billetera de terceros para «ayudar a los usuarios a identificar mejor las solicitudes de firmas maliciosas, así como otras iniciativas para ayudar a prevenir el fraude y los ataques de phishing». con mayor eficiencia.”
«Las innovaciones de blockchain se ejecutan rápidamente y NFT se mantendrá allí. Dado el ritmo acelerado de la innovación, existe un problema inherente en la integración segura de aplicaciones de software y criptomercados», dijo Oded Vanunu, jefe de investigación de vulnerabilidad de productos en Check Point. «Los malos actores saben que en este momento tienen una ventana abierta que pueden aprovechar, mientras que la adopción por parte de los consumidores va en aumento y las medidas de seguridad en esta área aún tienen que ponerse al día».